Cryptography Reference
In-Depth Information
■
Wenn der Klartext ein Zufallswert ist (bei einem geheimen Schlüssel ist das ja
der Fall), dann kann Bob nicht feststellen, ob das Ergebnis seiner Entschlüsse-
lung auch wirklich dem ursprünglichen Klartext entspricht. Wenn Bob etwa
versehentlich einen falschen privaten RSA-Schlüssel zum Entschlüsseln ver-
wendet, dann erhält er ein falsches Ergebnis, ohne es zu merken. Gleiches pas-
siert, wenn der Geheimtext auf dem Transportweg verändert wurde. Es lohnt
sich für Alice also, den RSA-Klartext im Rahmen der Datenformatierung so
zu kennzeichnen, dass Bob ihn von einer zufälligen Bit-Folge unterscheiden
kann. Wenn wir von einem Hardwaremodul (beispielsweise einer Smartcard)
ausgehen, das RSA-Entschlüsselungen durchführen kann, dann bringt eine
solche Vorgehensweise einen zusätzlichen Vorteil mit sich. Der Hersteller
kann dieses Modul so programmieren, dass es ungültige RSA-Klartexte
anhand der fehlenden Formatierung als solche erkennt und nicht ausgibt.
Dies erschwert Mallory eine Chosen-Ciphertext-Attacke erheblich.
■
Wie Sie aus Abschnitt 11.3.1 wissen, geht das RSA-Verschlüsseln besonders
schnell, wenn Alice einen kleinen Exponenten verwendet (die Zahlen 3 und
17 sind besonders gut geeignet). Verschlüsselt Alice jedoch denselben Text mit
einem kleinen Exponenten mehrfach (mit mehreren unterschiedlichen öffent-
lichen Schlüsseln), dann kann Mallory eine Low-Exponent-Attacke starten.
Dies wird verhindert, wenn Alice im Rahmen der Datenformatierung dafür
sorgt, dass jeder RSA-Klartext anders aussieht (dies ist etwa der Fall, wenn
Alice eine Zufallszahl hinzufügt).
■
Aus Abschnitt 12.2 wissen Sie sicherlich noch, dass eine RSA-Entschlüsselung
und eine RSA-Signierung mathematisch gesehen das Gleiche sind. Dies kann
Mallory ausnutzen, indem er Alice beispielsweise einen RSA-Geheimtext zum
Signieren vorlegt und so den Klartext erhält (Unterschiebe-Angriff). Solche
Angriffe können Alice und Bob verhindern, indem sie RSA-Klartexte so for-
matieren, dass sie von einem zu signierenden Hashwert zu unterscheiden sind.
■
In manchen Einsatzszenarien ist es für Mallory von Vorteil, wenn ein RSA-
Klartext bestimmte Bit-Muster enthält oder eine bestimmte Länge hat. So
kann etwa ein Seitenkanalangriff unter solchen Voraussetzungen einfacher
sein. Eine Datenformatierung sollte daher für eine einheitliche Länge des
Klartexts sorgen und möglichst wenig Regelmäßigkeiten darin zulassen.
Es lohnt sich also für Alice, die Daten, die sie mit dem RSA-Verfahren verschlüs-
selt, vorher zu formatieren.
Formatierung für die Verschlüsselung nach PKCS#1 Version 1
Die erste Version des PKCS#1-Standards (PKCS#1v1) sieht eine Datenformatie-
rung für die RSA-Verschlüsselung vor, die die genannten Probleme wenigstens
teilweise löst. Der formatierte Klartext hat gemäß PKCS#1v1 folgende vier
Bestandteile:
